Cette semaine, Lacework a annoncé la disponibilité d'une plateforme de protection des applications natives du cloud (Cnapp) avec son offre Polygraph Data Platform. Selon le fournisseur de solutions de sécurité dans le cloud, cette option sans agent et à faible impact permet aux entreprises d’améliorer la sécurité de leurs applications. La version Cnapp comporte deux composantes principales, qui, selon l’éditeur, nécessitent toutes deux que l'utilisateur connecte ses comptes cloud avec le mécanisme de Lacework. La première concerne l'analyse des chemins d'attaque, qui utilise les systèmes du fournisseur pour analyser les configurations, la topographie du réseau et d’autres choses encore pour fournir une représentation visuelle de la compromission possible des charges de travail applicatives par de mauvais acteurs. Pour établir son diagnostic, le système recherche les mauvaises configurations, les accès réseau ouverts, les rôles de gestion de l'identité et les vulnérabilités logicielles connues.

Un Cnapp qui crée son propre SBOM

L'autre gros apport du mécanisme de Lacework concerne l'analyse des charges de travail sans agent. Cette analyse utilise des instantanés des tâches en cours dans les images de conteneurs, les hôtes et les bibliothèques pour créer une nomenclature logicielle unique (Software Bill of Materials, SBOM) pour un environnement donné. Selon le fournisseur, les utilisateurs peuvent ainsi mieux comprendre ce qui se passe dans leur environnement cloud et mettre en évidence les risques éventuels. Normalement, la nature sans agent du système implique qu'il ne devrait y avoir aucun impact sur les performances des applications cloud de l'utilisateur. Selon Melinda Marks, analyste principale d'ESG, « elle rend également le système d'analyse de la charge de travail plus simple à mettre en œuvre ». Même si l'analyse sans agent ne permet pas de réaliser une surveillance en continu à la seconde près comme celle des systèmes avec agent, la facilité d'utilisation et l'encombrement réduit sont des critères importants pour beaucoup d’entreprises. « La possibilité de connecter les charges de travail sans avoir à installer d'agents permet une couverture plus large, ce qui est important, compte tenu de la nature éphémère des charges de travail », a déclaré Mme Marks. « C'est plus efficace et plus facile à mettre en œuvre que d'installer des agents et d'être limité à la surveillance des seules charges de travail avec les agents installés », a-t-elle ajouté.

Selon Melinda Marks, « l'analyse sans agent est sans doute la meilleure solution pour les entreprises, en raison de sa flexibilité et de sa facilité d'utilisation ». Actuellement, le marché autour de la sécurité des applications est très hétérogène, les fournisseurs plaidant pour leur technologie propriétaire, qu'elle soit sans agent ou pas. « L'objectif est de collecter le maximum d'informations et de télémétrie tout en émettant des alertes sur les évènements qui nécessitent une attention particulière afin de réduire le risque de sécurité et de protéger les applications, et ce, d'une manière qui n'a pas d'impact sur les performances des applications », a encore déclaré Mme Marks. « Les fonctions d'analyse de la charge de travail et d'analyse des chemins d'attaque sont disponibles immédiatement pour les clients de Lacework », a indiqué le fournisseur.